クラウド型脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

脆弱性診断について学ぼう!非エンジニア向けシリーズ

登場人物

f:id:vaddy:20200728170646j:plain Webマーケ担当(IT業界10年):新人

f:id:vaddy:20200728170619j:plain VAddy 契約担当:西野

f:id:vaddy:20200728170601j:plain VAddy 開発担当:市川

第3回:脆弱性診断ツール導入後に困ることってなに?


新人:前回の記事では「知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために」についてお話を伺いましたが、今回は、脆弱性診断ツール導入後に実はこんなことが困っているという話を伺っていこうと思います!脆弱性診断ツールは導入を決めたらすぐに使えるものなのですか?

西野:いやいや、もともと脆弱性診断ツールというのはセキュリティ担当者や脆弱性診断会社が使うためのソフトウェアだから、未経験の人がいきなり使えるっていう類のものではないよ。セキュリティやセキュリティテスト、あるいはアプリケーション開発に関する最低限の知識を持つ人が、ツールベンダーが提供しているトレーニングを受けてから使うのが一般的じゃないかな。だから、それなりの大きい組織が腰を据えて進めないと導入は難しくて、きちんと準備をしておかないと次のような壁にぶつかりがちだよ。

1. 使いこなすために思ったより時間がかかる
2. 検査実行に時間がかかる
3. 検査結果の理解・対応可否の判断が難しい

もちろんそれらは時間をかけるだけの価値がある素晴らしいツールなんだけどね。

市川:導入してからの設定項目が多かったり、検査に2~3日掛かったり、あとは検査結果の読み取りにも苦労するっていう話はよくある。検査結果が出た後、危険度が高い脆弱性なのか、危険度が低い脆弱性なのか・・・脆弱性が見つかったからといって、全て対策をしないといけない訳ではないからね。

新人脆弱性診断ツール導入ってなかなかハードル高いんですね・・・。

西野:そういう課題感があってVAddyをリリースしたというのもある。研修のときにVAddyを触って分かったと思うんだけど、オンラインマニュアルだけで診断できたでしょ?最近はいろんな脆弱性診断ツールが出てきているから、情報収集は大切!

市川:そうそう。自分たちで難しい設定をしなくてもすぐ検査できたり、同時に複数人が利用できたり、優先度が高い検査項目だけに絞って検査できるツールもあったりするからいろんな脆弱性診断ツールを比較検討してみても良いかもしれないね。

新人:ふと、疑問に思ったことなのですが、脆弱性診断を実施する時に最新のサイバー攻撃に対応しているかどうかって気にしたほうがいいことなんですか?

西野Webサイトへの攻撃は本当に多様化していて、最近のニュースを賑わせているような「仕様の不備」を狙ったものから特定のソフトウェアを狙ったもの、昔ながらの脆弱性を狙ったものまでバリエーションが豊か(笑) 脆弱性の中には自社にとっての影響が限定的な場合や、ソフトウェアをアップデートすることで回避できるものもあるから、リスクを正しく認識することも必要かな。ただ、VAddyが検査対象としているレイヤーに限って言えば攻撃傾向って実はあまり大きく変化はしてないんだよ。攻撃者もコスパを考えて攻撃を仕掛けるって話も聞くし。

新人コスパですか?

市川:攻撃を成功させる方法が非常に難しいものや、特定製品のみの脆弱性を狙うよりも、SQLインジェクションやコマンドインジェクションなど、従来の脆弱性を狙う傾向があるし、それが簡単に実行できる攻撃ツールも出回ってるからね。

西野:攻撃者って映画やドラマに出てくるような天才ハッカーが個人で攻撃しているというイメージがあるかもしれないけど、今どきは自動化されたツールを使って不特性多数のWebサイトを順番にスキャンしていくっていうのが主流になりつつあるから、攻撃者のスキルが高いとは限らないし、狙われたサイトが必ずしも有名(重要なデータを持っている)とも限らない

新人:たまに、何でこのWebサイトが攻撃を受けているんだろう?ということありますもんね。それは、不特定多数のWebサイトを攻撃している中でたまたま見つかってしまったということなんですね・・・。

西野自分たちのWebサイトが狙われるわけはないと思い込んで、リリース後の機能追加の際の脆弱性診断をおろそかにするケースが非常に多いので、重大なインシデントへ発展する前に、まずはツールで脆弱性診断をスモールスタートしてみるのもいいかも。

市川:リリース後に重大な脆弱性を見つけて慌てて解決策を考えて改修コストを掛けるよりも、日々の開発にうまく脆弱性診断ツールを組み合わせることによって、より安全なWebアプリケーションを早く構築してリリースできるのはVAddyのように手軽に使える脆弱性診断ツールの強みだね。脆弱性診断ツールの中にもそれぞれ強味と弱味があるから、自分たちの組織にあわせて上手く使い分けることが大切だよ。

新人:本日はありがとうございました!
次回は10月末更新予定です。「第4回:脆弱性診断で脆弱性が出た後に修正すれば、それはもう、安全なWebアプリケーションですよね?」です。 お楽しみに!

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/

レーニングや資格取得の必要なし!

クラウド型Web脆弱性診断ツール「VAddy」

「VAddy」開発者に聞ける!個別相談会

脆弱性診断とは?

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/